Günlük hayatta yaptığımız birçok işlemde kişisel verilerimizi karşı tarafla paylaşmak durumunda kalıyoruz. İş başvurusunda bulunmak, internet üzerinden alışveriş yapmak veya hastaneden randevu almak gibi durumlar buna örnek olarak sayılabilir. Kişisel verilerin üçüncü kişilerle bu şekilde sıklıkla paylaşılması, bunların devlet eliyle korunması ihtiyacını ortaya çıkarmıştır. Bu amaçla 7 Nisan 2016 tarihinde, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. KVKK, kişisel verileri koruma amacıyla veri sorumlularının aydınlatma yükümlülüğünü de düzenler.
İçindekiler
KVKK m.10 veri sorumlularının aydınlatma yükümlülüğünü şu şekilde düzenler:
“Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;
konusunda bilgi vermekle yükümlüdür.”
Belirtmek gerekir ki veri sorumlusu kanunda “ Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanır. KVKK m.10 uyarınca veri sorumlusu, veri sahibini veri işlemenin kapsamı hakkında detaylı şekilde bilgilendirmekle yükümlüdür. Bu bilgilendirmenin veri sahibi tarafından “anlaşılabilir” nitelikte yapılması gerekir. Anlaşılabilirlik her somut olaydaki veri sahibi açısından farklılık gösterecek olmakla birlikte, yapılan bilgilendirmede sade bir dil kullanılması, teknik terimlerden kaçınılması ve ihtiyaç duyulması halinde teknik terimlerin veri sahibine açıklanması gibi kriterler aydınlatma yükümlülüğü açısından önemlidir.
Önemle eklemek gerekir ki veri sorumlusunun aydınlatma metnini doğrudan veri sahibine sunması gerekir. Aydınlatma metninin veri sahibi tarafından ulaşılabilir olması yeterli değildir.
Aydınlatma metninde aşağıdaki hususlar yer almalıdır:
Veri sorumlusu tam unvanını ve iletişim bilgilerini aydınlatma metninde açıkça belirtmelidir.
Kişisel verilerin işleme amaçları Veri Sorumluları Sicil Bilgi Sistemi’nde (VERBİS) tek tek belirtilmiştir. Örnek olarak finans ve muhasebe işlerinin yürütülmesi, iş faaliyetlerinin denetimi, lojistik faaliyetlerin yürütülmesi, hukuk işlerinin takibi gibi amaçlar sayılabilir.
Uygulamada kişisel verilerin üçüncü kişilerle paylaşılması zorunluluğu sıklıkla doğmaktadır. Örneğin internet üzerinden alışveriş yaptığınızda sipariş ettiğiniz ürünün gönderimi için kargo firması ile kişisel verilerinizin paylaşılması gerekir. Bu tür durumlarda veri sorumlusu verilerin paylaşılacağı üçüncü kişilerin kimler olduğunu ve hangi verilerin ne amaçla aktarılacağını veri sahibine detaylıca bildirmelidir.
Kişisel Verileri Koruma Kurulu, 20.05.2020 tarihli ve 2020/407 sayılı kararında, veri sorumlusu olan bir hastanenin hastanın tahlil sonuçlarını, hastayı laboratuvara yönlendiren doktorun asistanına e-posta olarak iletmesi nedeniyle hastaneye 100.000 TL idari para cezası uygulanmasına hükmetmiştir. Hastane, veri sorumlusu olarak hastanın tahlil sonucu gibi kişisel verilerin kimlerle paylaşılacağını aydınlatma metninde açıkça belirtmekle yükümlüdür.
Kişisel verilerin nasıl toplandığı konusu da aydınlatma metninde yer almalıdır. Örneğin firmaların müşteri hizmetlerini aradığımızda yapılan konuşmaların kayıt altına alındığı bilgisi bize verilir. Bu bir veri toplama yöntemidir. Buradaki veri işleme faaliyetinin hukuki sebebi ise hizmet kalitesini arttırmak ve herhangi bir ihtilaf halinde telefon kayıtlarına başvurulmasını sağlamaktır.
KVKK m.11’e göre herkes, veri sorumlusuna başvurarak kendisiyle ilgili aşağıdaki konularda bilgi alma hakkına sahiptir:
Veri sorumlusu aydınlatma yükümlülüğünü sözlü veya yazılı şekilde yerine getirebilir. Bununla birlikte uygulamada yaşanabilecek ihtilafların önüne geçmek için yazılı olarak yapılması daha pratik olacaktır. Yazılı olarak yapılan bilgilendirmede “KVKK aydınlatma metni” kavramı karşımıza çıkar. Şirketler ve e-ticaret siteleri aydınlatma metinlerini internet sayfalarında genellikle ayrı bir bölüm ayırarak yayımlar. Bunun dışında veri sahibi sayfalarda gezinirken açılan pop-up pencereler aracılığıyla da aydınlatma sorumluluğunun yerine getirilmesi mümkündür. Veri sorumlusunun veya yetkilendirdiği kişinin tarafından veri sahibine doğrudan sözlü bilgilendirmede bulunması, ortama bilgilendirme levhası ve kamera kaydı alınıyorsa bununla ilgili bilgilendirme yazısı asılması gibi yöntemlerle de aydınlatma yükümlülüğü yerine getirilebilir.
KVKK kapsamında aydınlatma yükümlülüğü ile ilgili her türlü sorunuz için Sinan Eroğlu Hukuk ve Danışmanlık olarak profesyonel ve deneyimli ekibimizle yanınızdayız.
KVKK Nedir? KVKK Hakkında Bilinmesi Gerekenler adlı yazımızı hala okumadıysanız buraya tıklayarak okuyabilirsiniz!